Contenido de Detección: Ransomware Tycoon

A pesar de que aparecen nuevas familias de ransomware con bastante frecuencia, la mayoría de ellas se centran exclusivamente en sistemas Windows. Mucho más interesante es Tycoon, un ransomware multiplataforma en Java que puede cifrar archivos tanto en sistemas Windows como Linux. Se ha observado a esta familia en estado salvaje al menos desde diciembre de 2019. Sus autores lo compilaron en un formato de archivo de imagen de Java poco conocido que permite al ransomware pasar desapercibido.

El ransomware se aloja en una versión troyanizada del entorno de ejecución de Java. Sus principales víctimas parecen ser en gran parte pequeñas y medianas organizaciones en las industrias de software y educación. Los adversarios utilizan señuelos personalizados en ataques altamente dirigidos. En al menos un caso, los adversarios penetraron la red de una organización a través de un servidor de salto RDP expuesto a Internet.

Usaron la técnica de inyección de Opciones de Ejecución de Archivos de Imagen (T1183) para lograr persistencia en los sistemas comprometidos. Luego, los atacantes ejecutaron una puerta trasera junto con la función del teclado en pantalla de Microsoft Windows, desactivaron la solución anti-malware y cambiaron las contraseñas de los servidores de Active Directory.

Los investigadores sugieren que el ransomware Tycoon puede ser utilizado por los mismos cibercriminales que distribuyen el ransomware Dharma / CrySIS y que los atacantes eligen qué herramienta usar dependiendo del entorno de la víctima. 

Nueva regla comunitaria Sigma por Ariel Millahuel ayuda a detectar el ransomware Tycoon cuando se prepara para comenzar a cifrar archivos en los sistemas infectados: https://tdm.socprime.com/tdm/info/uqCfDQqIdCq1/SD26mHIBQAH5UgbBgDPq/?p=1

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Escalada de Privilegios, Persistencia, Evasión de Defensa, Ejecución

Técnicas: Interfaz de Línea de Comandos (T1059), Inyección de Opciones de Ejecución de Archivos de Imagen (T1183)